1. 정보화 사회의 정보보호
특성
자동화된 지휘통제시스템, 사이버전쟁
역기능
스마트폰 사용의 급속한 확산과 더불어 모바일환경에서의 정보보호가 화두
정보보호
사전적의미는 훼손,변조,유출 등을 방지
정보의 가용성과 안전성(보호성)
사용 가능한 자원은 쉽게 얻을 수 있게, 정보에 위협이 되는 요소는 최소화 하는 균형점 찾기
안정성을 확보하기위해 최대한 통제
정보보호의 목표
| 기밀성 (비밀성, Confientiality) |
오직 인가된 주체, 알 필요성(=최소권한), 소유자가 원하는대로 비밀 유지 ☞ 접근제어, 암호화 |
||
| 무결성 (Integrity) |
주어진 권한에 의해서만 변경되어야 한다. 인가받은 방법에 의해서만 변경 되어야 한다. ☞ 접근제어, 메세지 인증 ※ 무결성 침해 해결책 : 침입탐지, 백업 |
||
| 가용성 (Availability) |
적시에 적절하게 사용 할 수 있어야 한다. ☞ 데이터의 백업, 중복성의 유지, 물리적 위협요소로부터의 보호 |
||
| 인증성 (인증, Authenticity, Authenticatino) |
진짜 라는 성질, 확인 및 신뢰 할 수 있는 의미, 사용자인증 <=> 메세지인증 | ||
| 책임추적성 (책임성, Accountability) |
유일하게 추적해서 찾아낼 수 있어야 한다. ☞ 부인봉쇄, 결함분리, 법적인 조치(포렌식) |
||
2. 정보보호 관리
정보보호 관리와 정보보호 대책
- 기술적 보호대책 : 정보를 보호하기 위한 가장 기본적인 대책 ☞ 접근통제, 암호기술, 백업 체제
- 물리적 보호대책 : 자연재해로부터 시설을 보호하기 위해 ☞ 출입통제, 시건
- 관리적 보호대책 : 법·제도·규정·교육 확립, 무엇보다 교육이 중요하게 취급
3. OSI 보안 구조
권고안 X.800, OSI 보안구조는 보안문제를 조직화 할 수 있게 해준다.
OSI 보안구조의 핵심은 보안공격, 보안메커니즘, 보안서비스이다.
- 보안 공격(Security attack) : 안전성을 침해하는 행위
- 보안 매커니즘(Security mechanism) : 탐지, 예방, 복구하는 절차
- 보안 서비스(Security service) : 보안을 강화하기 위한 처리 또는 서비스
보안 공격(Security attack)★★★★★
기밀성을 위협하는 공격
| 스누핑 (Snooping) |
데이터에 대한 비인가자의 접근 or 탈취, 비인가자는 전송하는 메세지를 가로챈다. ☞ 암호화 기법 사용 |
||||||
| 트래픽 분석 (Traffic Analysis) |
공격자가 암호화된 데이터를 이해할 수 없다해도 트래픽을 분석함으로써 다른형태의 정보를 얻을 수 있다. 도청자가 전자 주소를 알아내어 전송의 성향을 추측하는데 도움이 되는 질의와 응답의 쌍을 수집 가능 |
||||||
무결성을 위협하는 공격
| 변경 (Modification) |
불법으로 수정, 전송을 지연, 순서를 뒤바꿈 | |||||
| 가장 (Masquerading) |
한 개체가 다른 개체의 행세 ex) 일반사용자가 특권사용자(root) 행세 | |||||
| 재연 (Replaying) |
획득한 데이터를 보관하고 있다가 재전송 | |||||
| 부인 (Repudiation) |
메세지를 보냈다는 것을 부인할 수 있고, 메세지를 받았다는것을 부인할 수 있다 ☞ 부인방지 |
|||||
가용성을 위협하는 공격
| 서비스 거부(Dos) | 시스템의 서비스를 느리게 하거나 완전히 차단 | |||
소극적 공격과 적극적 공격★★★★★
소극적 공격 - 정보를 획득하거나 사용, 시스템 자원에 영향을 미치지 않는 공격, 예방
적극적 공격 - 시스템 자원을 변경, 시스템 작동에 영향을 미치는 공격, 탐지
4. 기본 보안용어 정의★
자산(Asset) : 자산 소유자가 가치를 부여한 실체
취약점(Vulnerability) : 위협의 이용대상
위협(Threat)
- 가로채기(interception) : 기밀성
- 가로막음(interruption) : 가용성
- 변조(modification) : 무결성
- 위조(fabrication) : 무결성, 인증
| 분류 | 내용 | ||
| 자연에 의한 위협 | 자연 | ||
| 인간에 의한 위협 | 비의도적 위협 | 실수와 태만 | |
| 의도적 위협 | 바이러스, 해킹 | ||
위험(Risk) : 취약점을 이용할 수 있는 가능성과 영향, [자산x위협x취약점] ☞ (VAT)
다계층 보안/심층 방어(Defense in Depth) : Multi Layered Security, 여러계층의 보안
직무상의 신의선실, 노력
- Due : 의무
- Due care : 주의
- Due Diligence : 노력
사회공학(Social Engineering) : 인간 상호 작용의 깊은 신뢰를 바탕(평균 20.5일)
시점별 통제
| 예방 | 사전에 예방 | ||
| 탐지 | 빠르게 탐지할수록 용이 | ||
| 교정 | 위협이나 취약점을 감소 | ||
